Nepovšimnuté novely zákonů s dopadem do soukromí (1) Elektronizace zdravotnictví
Mgr. Monika Bendová, LL.M.
První díl odborného zhodnocení: Jak dubnové návrhy změn zákonů ovlivní ochranu osobních údajů, aneb důležité novely právních předpisů, jejichž dopad do sféry ochrany osobních může být podstatný.
Vládní návrh zákona, kterým se mění zákon č. 325/2021 Sb., o elektronizaci zdravotnictví, ve znění zákona č. 409/2023 Sb., a další související zákony /sněmovní tisk č. 833, senátní tisk č. 102/ - projednáno Poslaneckou sněmovnou Parlamentu ČR dne 23. 4. 2025
Důvod předložení: Předložení novely představuje realizaci dalších připravovaných fázích elektronizace zdravotnictví, která by měla navázat na elementární fázi elektronizace zdravotnictví. Navrhované legislativní řešení předpokládá další rozvoj centrálních služeb elektronického zdravotnictví jako součásti základní infrastruktury, kterou je Integrované datové rozhraní. Na jedné straně dojde k zavedení zcela nových služeb elektronického zdravotnictví, které mají vhodným způsobem doplnit či zjednodušit stávající procesy ve zdravotnictví, na straně druhé dojde k rozšíření funkcionalit stávajících zákonem již ukotvených služeb elektronického zdravotnictví. Benefitem by mělo být především zefektivnění předávání zdravotnické dokumentace, jejích samostatných částí či výpisů z ní elektronickou cestou, a to zejména rozšířením funkcionalit služeb výměnné sítě a zavedením nových centrálních služeb elektronického zdravotnictví (eŽádanka, EZKarta), zvýšení právní jistoty zdravotnických pracovníků a poskytovatelů zdravotních služeb, rozšíření práv pacientů v oblasti elektronizace zdravotnictví, resp. úprava práv a povinností pacientů při využívání služeb elektronického zdravotnictví, do kterých budou mít přístup, a zároveň úprava ochrany jejich osobních údajů proti zneužití v rámci využívání systémů elektronického zdravotnictví i zavedení centrální evidence pro udělování mandátů a souhlasů, a vyšší efektivita zdravotnictví v ČR a sekundárně tak i kvalita a bezpečnost poskytovaných zdravotních služeb.
Dopady na ochranu soukromí a osobních údajů fyzických osob: Novela zákona o elektronizaci zdravotnictví se dotýká zpracování osobních údajů, a to i zvláštní kategorie osobních údajů, do které ve smyslu platné právní úpravy EU spadají údaje o zdravotním stavu. Důvodová zpráva k novele uvádí, že právní regulace elektronizace zdravotnictví důsledně respektuje právo na ochranu soukromí. Rozšíření centrálních služeb elektronického zdravotnictví a využití těchto nově zaváděných služeb (EZKarta) bude možné při respektování pravidla opt-in. V maximální možné míře bude využívání služeb elektronického zdravotnictví pro pacienty dobrovolné (např. již zmíněná EZKarta). Služby elektronického zdravotnictví nebudou ve vztahu k pacientům vynucovány.
V navrhované právní úpravě je přesně vymezen rozsah zpracovávaných údajů, respektována zásada přiměřenosti rozsahu ve vazbě na explicitně stanovený účel zpracování osobních údajů. Kromě účelu zákon stanoví kategorie subjektů údajů, zapisující osoby, oprávněné osoby využívající osobní údaje. Bude posíleno zabezpečení a kontrola nad osobními údaji subjektů údajů, a to jak v oblasti kyberbezpečnosti, tak i vyššími standardy nastavení žurnálu činností. Je vyjadřován respekt celému obecnému nařízení o ochraně osobních údajů, tak i garantována zásada minimalizace zpracování osobních údajů.
Zabezpečení dat: Důvodová zpráva uvádí, že byla provedena analýza dopadů na bezpečnost a obranu státu. Elektronizace zdravotnictví by z tohoto hlediska mohla představovat riziko zejména v oblasti nekorektního zpracování dat. Z výsledků analýzy tedy jednoznačně vyplývá, že i další rozvoj elektronizace zdravotnictví musí probíhat pod nejpřísnějšími standardy kybernetické bezpečnosti a ochrany osobních údajů. Na všechna rozšíření rozsahu zpracovávaných údajů v kmenových zdravotnických registrech je uplatněn princip neveřejnosti –– není umožněno zveřejnění některých údajů rozhodných pro bezpečnost a obranu státu. Všechny datové komponenty elektronického zdravotnictví budou striktně podléhat nejpřísnějším pravidlům napojení na služby eGovernmentu, a to i s možností využití stávajících agendových systémů v rámci zákona o zdravotních službách.
RIA (Závěrečná zpráva Ministerstva zdravotnictví ČR z hodnocení dopadů regulace k návrhu novely zákona o elektronizaci zdravotnictví): K materiálu byla, navzdory častým legislativním zvyklostem, zpracována velmi podrobná RIA čítající 44 stran; k celkové zprávě jsou zároveň přiloženy přehledné tabulky řešící zhodnocení dopadů na jednotlivé cílové skupiny.
DPIA (Obecné posouzení vlivu na ochranu osobních údajů – zpracoval Ústav zdravotnických informací a statistiky ČR): Z hlediska ochrany osobních údajů i vzhledem k tomu, o jaký zásah do práv subjektů údajů ze strany státu v rámci pokračující elektronizace zdravotnictví jde, lze nesmírně kvitovat podrobně vypracované posouzení vlivu na ochranu osobních údajů, jenž tvoří přílohu celého materiálu. Posouzení klade zejména důraz na IT řešení, metodiky a konzultace s odborníky v oblasti a pověřencem pro ochranu osobních údajů, obsahuje detailní seznam hrozeb a definiční rámec testu proporcionality, který je proveden ke každému jednotlivému druhu zpracování. Obsahuje též stanovisko pověřence pro ochranu osobních údajů.
Souhrn druhů zpracování osobních údajů:
- Provoz kmenových zdravotnických registrů (Kmenový registr poskytovatelů zdravotních služeb, Kmenový registr zdravotnických pracovníků, Kmenový registr pacientů - provozovatel Ústav zdravotnických informací a statistiky ČR, správce Ministerstvo zdravotnictví ČR)
- Nahlížení do údajů kmenových zdravotnických registrů, zápis údajů kmenových zdravotnických registrů, jejich opravy a výmaz
- Realizace výměnné sítě
- Dočasné úložiště v rámci výměnné sítě
- Registr práv a mandátů
- Služby vytvářející důvěru
- Žurnál činností
Nové centrální služby elektronického zdravotnictví:
- eZKarta (mobilní aplikace); a
- eŽádanka;
- Sdílený zdravotní záznam.
Závěr: Materiál je připraven kvalitně i co do řešení výrazných dopadů do práv subjektů údajů v oblasti ochrany soukromí a osobních údajů, zejména jejich zvláštních kategorií. Riziko spatřuji zejména v další centralizaci osobních údajů (vznik dalších registrů) a zejména pak v zabezpečení osobních údajů, kdy je velký prostor věnován způsobům zabezpečení, avšak výdaje na toto zabezpečení nejsou, dle mého názoru, v kapitole rozpočtových dopadů dostatečně zdůvodněny. Zabezpečení se výrazněji nevěnovala ani Poslanecká sněmovna při třetím čtení, kde poslanci řešili spíše přesnost a přenositelnost dat.
Stenozáznam z Poslanecké sněmovny Parlamentu ČR: https://www.psp.cz/eknih/2021ps/stenprot/136schuz/bqbs/b15117601.htm
Sněmovní tisk: https://www.psp.cz/sqw/historie.sqw?T=833&O=9
Autor článku: Mgr. Monika Bendová, LL.M.
